Dovecot は imap 証明書の有効期限を誤って表示します。

Dovecot は imap 証明書の有効期限を誤って表示します。

私はdovecot-2.3.8-9.el8.x86_64鳩を運営しています。CentOS Linux release 8.5.2111

imap証明書がすぐに期限切れになると警告するnagiosチェックがあります。最近、私はそのような警告を受けました。

しかし、これは正確ではないようです。

PEM証明書で実際の証明書の有効期限を確認します。

# openssl x509 -enddate -noout -in cert.pem
notAfter=Apr  9 15:58:41 2023 GMT

次に、openssl を使用して物理ホストに接続し、証明書の有効期限を確認しました。

# openssl s_client -connect imap.myserver.net:993 | openssl x509 -noout -dates
depth=0 CN = imap.myserver.net
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = imap.myserver.net
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 CN = imap.myserver.net
verify return:1
notBefore=Nov 10 08:44:28 2022 GMT
notAfter=Feb  8 08:44:27 2023 GMT

その後、鳩を再起動します。

systemctl restart dovecot

もう一度確認してください。

# openssl s_client -connect imap.myserver.net:993 | openssl x509 -noout -dates
depth=0 CN = imap.myserver.net
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = imap.myserver.net
verify error:num=21:unable to verify the first certificate
verify return:1
depth=0 CN = imap.myserver.net
verify return:1
notBefore=Jan  9 15:58:42 2023 GMT
notAfter=Apr  9 15:58:41 2023 GMT

これで日付が正確になりました。ここで何が起こっているのでしょうか?これはDovecotのバグですか?

答え1

他の多くのサーバー(nginx ...)と同様に、サーバーの証明書が変更された場合は、サーバーが新しい証明書を読み取れるようにサーバーを再起動する必要があります。図のように再起動すると問題が解決するため、これを見逃した可能性があります。

関連情報